Автор: Кирилл | 94539 | 11.06.2018 17:04 |
Всем здрасте! Сразу оговариваю я студент, поэтому не серчайте за задаваемый вопрос. В данным момент не могу понять, определил уровень защищенности (УЗ-4) ПДн согласно ПП 1119, далее определил что ИС имеет 3-й класс защищённости (К3) согласно 17-му приказу ФСТЭК.
Обратил внимание на информационное сообщение ФСТЭК, в котором говорится что, «если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса». Далее открыл 17 Приказ обратился к п.27, понял что ничего не понял. Суть вопроса, нужно ли мне повышать класс защищенности либо понижать уровень защищенности, если да, то какими методами оперировать. |
Автор: Tarakan | 94542 | 11.06.2018 17:39 |
Нужна фактура.
твоя ИСПДн также является и ГИСом? Весь смысл инф.сообщения ФСТЭК в том, что если твоя ИС является и ИСПДн и ГИС, то следует применять наибольший класс защиты. |
Автор: Кирилл | 94543 | 11.06.2018 17:57 |
to Tarakan
Да все верно, у меня ГИС ИСПДн, так как есть наличие ПДн. |
Автор: Кирилл | 94546 | 11.06.2018 20:04 |
Разъяснение вопроса актуально
|
Автор: oko | 94552 | 11.06.2018 22:57 |
to Кирилл
Дык, тов. Tarakan вам все уже объяснил. Если ИС обрабатывает разнородную ИОД, которая категорируется по-разному, то результирующий класс/уровень защищенности ИС выбирается "по-максимуму". Т.е. в вашем случае "подтягивание" класса защищенности ИС не требуется: первично определено, что ИСПДн у вас 4 уровня, а ГИС 3. Следовательно, рассматриваете свою ИС как ГИС 3 класса (со всеми обязательными требованиями 17 Приказа, см. таблицу) + добавляете разделы 21 Приказа (см. таблицу), актуальные для ИСПДн У4, которых нет в 17 Приказе для ГИС К3. В целом, требования 17 Приказа "перекрывают" требования 21, но есть исключения... И про актуализацию угроз безопасности не забывайте. Проведите моделирование угроз ПДн (см. методику 2008, сайт ФСТЭК России) и, при желании, угроз иной ИОД, которая циркулирует в вашей ИС (см. Проект методики 2015, сайт ФСТЭК России). По результатам оного моделирования решите: какие-то требования 17/21 Приказов могут оказаться не нужными (даже базисные, помеченные "+"), какие-то придется добавить (из тех, что не помечены), какие-то имеющиеся (базисные) усилить (см. методику Меры защиты информации в ГИС, 2014, сайт ФСТЭК России)... |
Автор: Кирилл | 94561 | 12.06.2018 05:43 |
to oko
Спасибо вам огромное, очень доходчиво объясняете, и много полезного узнал с ваших комментарий на форуме |
Просмотров темы: 2663